Wieczny niebieski

Urządzenie do eksploatacji EternalBlue nie jest nowe, ponieważ zostało ujawnione w kwietniu 2017 r. przez grupę o nazwie „The Shadows Brokers". Urządzenie do eksploatacji EternalBlue wykorzystuje luki w implementacji protokołu SMB systemu Windows i może działać na starych wersjach, które były używane przed wydaniem systemu Windows 8, ponieważ mają one udział komunikacji międzyprocesowej (IPC$), który umożliwia sesję zerową. Korzystając z sesji zerowej, przestępcy mogą utworzyć połączenie przy użyciu anonimowego loginu, który domyślnie włącza sesję zerową, umożliwiając serwerowi otrzymywanie wielu poleceń od klienta.

Urządzenie do eksploatacji EternalBlue wykorzystuje trzy błędy: „Błąd przydziału puli bez stronicowania", „Błąd nieprawidłowego przesyłania" i „Błąd nieprawidłowej funkcji analizowania". Błąd przydziału puli bez stronicowania instaluje różne niebezpieczne komponenty na zainfekowanych komputerach i atakuje te, które mają kruche hasła. Urządzenie eksploatacyjne EternalBlue dodaje również koparki kryptowalut Monero, XMRig, która osiągnie swój główny cel; wydobywanie krypt. Urządzenie eksploatacyjne EternalBlue może być również wykorzystane do wykonywania wielu innych zadań na infekowanych urządzeniach. Użytkownicy komputerów, których to dotyczy, powinni użyć produktu chroniącego przed złośliwym oprogramowaniem w celu natychmiastowego wykrycia i usunięcia urządzenia EternalBlue ze swoich komputerów.